informe nº ai-08-2018 · consejo técnico de aviación civil auditoría interna informe ai-08-2018...
TRANSCRIPT
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES CONSEJO TÉCNICO DE AVIACIÓN CIVIL
Auditoría Interna
INFORME Nº AI-08-2018
Auditoría especial Estado de los programas de cómputo en la
dgac para 2018
Noviembre, 2018
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
ii
ÍNDICE
ÍNDICE ................................................................................................................................... 2
ÍNDICE DE CUADROS Y GRÁFICOS ........................... ¡Error! Marcador no definido. ABREVIATURAS ................................................................................................................. 3
RESUMEN EJECUTIVO .................................................................................................... 4
I. INTRODUCCIÓN ......................................................................................................... 5 1.1.- NATURALEZA DEL ESTUDIO ................................................................................. 5
1.2.- JUSTIFICACIÓN ......................................................................................................... 5 1.3.- OBJETIVOS ................................................................................................................. 5 1.3.1.- OBJETIVO GENERAL ............................................................................................ 5
1.4.- ALCANCE .................................................................................................................... 5 1.5.- METODOLOGÍA ......................................................................................................... 5
1.6.- TIPO DE AUDITORÍA ................................................................................................ 6 1.7.- NORMATIVA ADMINISTRATIVA, LEGAL Y TÉCNICA ....................................... 6
1.8.- CUMPLIMIENTO CON NORMAS GENERALES DE AUDITORÍA ..................... 9 1.9.- LIMITACIONES ........................................................................................................... 9
1.10.- GENERALIDADES DEL ESTUDIO ....................................................................... 9
1.11.- COMUNICACIÓN DE RESULTADOS .................................................................. 9
II. COMENTARIOS ........................................................................................................ 11
2.1.- AUSENCIA EN EL MONITOREO DE LOS PROGRAMAS DE CÓMPUTO. .. 11
2.2.- DEBILIDAD EN LOS CONTROLES PARA EL REGISTRO DE LA INFORMACIÓN. ................................................................................................................. 12
2.3.- DESACTUALIZACIÓN EN EL NOMBRAMIENTO Y FALTA DE ENTRENAMIENTO DEL RESPONSABLE DE PRESENTAR EL INFORME A DERECHOS DE AUTOR. ................................................................................................. 13
2.4.- FALTA DE REMISION DE INFORME DE AUDITORIA A DERECHOS DE AUTOR Y ACCIONES REALIZADAS PARA SUBSANAR LO ENCONTRADO. .... 14
2.5.- POCA CLARIDAD EN LAS MEDIDAS PRESUPUESTARIAS PARA LA ADQUISICION DE PROGRAMAS DE CÓMPUTO. ..................................................... 15
III. CONCLUSIONES ................................................................................................... 17
IV. RECOMENDACIONES .......................................................................................... 18
ANEXOS ............................................................................................................................. 18
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
iii
ABREVIATURAS
Abreviatura Significado
CETAC Consejo Técnico de Aviación Civil
CGR Contraloría General de la República
DE Decreto Ejecutivo
DGAC Dirección General de Aviación Civil
UTI Unidad de Tecnologías de Información
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
iv
RESUMEN EJECUTIVO
La auditoría de carácter especial, se realizó como una colaboración a la Administración activa, para velar por el cumplimiento del “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central” (Decreto Ejecutivo № 37549-JP), y su reforma1.
El objetivo general planteado para el estudio fue determinar el estado de los programas de cómputo en la Dirección General de Aviación Civil para el 2018, de conformidad con el Decreto № 37549-JP, y su reforma № 37833-JP. La justificación para su realización corresponde a un estudio de carácter obligatorio que se debe realizar anualmente, su incumplimiento puede representar sanciones económicas y legales, para la Administración. La verificación del Decreto № 37549-JP, aplicado a la Dirección General de Aviación Civil (DGAC), permitió determinar un grado de cumplimiento del 50%; donde el restante 25% representa un acatamiento parcial del Decreto, es decir, la Administración presenta acciones que deben ser fortalecidas, y el otro 25% corresponde a artículos incumplidos del Decreto2. Los principales hallazgos obtenidos durante la realización del estudio fueron:
1. Ausencia en el monitoreo de los programas de cómputo. 2. Debilidad en los controles para el registro de la información. 3. Desactualización en el nombramiento y falta de entrenamiento del
responsable de presentar el informe a Derechos de Autor. 4. Falta de remisión de informe de Auditoría a Derechos de Autor y acciones
realizadas para subsanar lo encontrado. 5. Poca claridad en las medidas presupuestarias para la adquisición de
programas de cómputo Lo que se espera de la Administración, es el fortalecimiento del sistema de Control Interno, por medio del acatamiento de las recomendaciones emitidas por ésta Auditoría, de forma que la institución esté siempre vigilante en el uso de los recursos informáticos, que los colaboradores tienen a su disposición.
1 Reforma al Reglamento para la Protección de los programas de cómputo en los Ministerios e
Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo № 37833-JP). 2 Anexo №3.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 5 de 19
I. INTRODUCCIÓN
1.1.- NATURALEZA DEL ESTUDIO
El estudio se realizó como una colaboración a la Administración activa, que
tiene la obligación y responsabilidad de velar por el cumplimiento del “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central” (Decreto Ejecutivo № 37549-JP), y su reforma3. La ejecución del estudio se realizó de conformidad con las competencias de las auditorías4.
1.2.-JUSTIFICACIÓN
Esta auditoría de carácter especial correspondiente a los programas de cómputo institucionales, forma parte de los estudios de carácter obligatorio que deben realizar las instituciones anualmente, ya que su incumplimiento puede acarrear sanciones económicas y legales, para la Administración.
1.3.-OBJETIVOS
1.3.1.- OBJETIVO GENERAL
Determinar el estado de los programas de cómputo en la Dirección General
de Aviación Civil para el 2018, de conformidad con el Decreto № 37549-JP, y su reforma (№ 37833-JP).
1.4.- ALCANCE El estudio comprendió el análisis y verificación del estado de los programas
de cómputo de la Dirección General de Aviación Civil para el 2018, de conformidad con el Decreto № 37549, y su reforma (№ 37833-JP).
1.5.- METODOLOGÍA
El estudio se realizó de acuerdo con la normativa aplicable en el ejercicio de
la Auditoría Interna, por medio de la aplicación de técnicas como entrevistas, solicitudes de información, revisiones, tabulación y análisis de información.
3 Ídem. 4 Ley General de Control Interno, artículo № 22.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 6 de 19
1.6.- TIPO DE AUDITORÍA
La auditoría de carácter especial realizada, se enfoca en determinar si un asunto en particular cumple con las regulaciones o mandatos identificados como criterios, contenidos en leyes, reglamentos u otras normativas que las regulan5.
1.7.- NORMATIVA ADMINISTRATIVA, LEGAL Y TÉCNICA
a. Ley General de Control Interno, Nº 8292.
b. Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE) c. Normas para el Ejercicio de la Auditoria Interna en el Sector Público, (R-
DC-119-2009)6 d. Normas Generales de Auditoría para el Sector Público (R-DC-064-2014)7 e. Reglamento para la Protección de los Programas de Cómputo en los
Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo № 37549-JP)8, y su reforma (Decreto Ejecutivo № 37833-JP).
Asimismo, en la tramitación del presente estudio se deberá observar lo
estipulado en la Ley General de Control Interno, Nº 8292, específicamente en los
siguientes artículos:
“Artículo 36.-Informes dirigidos a los titulares
subordinados. Cuando los informes de auditoría
contengan recomendaciones dirigidas a los titulares
subordinados, se procederá de la siguiente manera:
a) El titular subordinado, en un plazo improrrogable
de diez días hábiles contados a partir de la fecha de
recibido el informe, ordenará la implantación de las
recomendaciones. Si discrepa de ellas, en el
transcurso de dicho plazo elevará el informe de
auditoría al jerarca, con copia a la auditoría interna,
expondrá por escrito las razones por las cuales objeta
5 Normas Generales de Auditoría para el Sector Público, según R-DC-64-2014. CONTRALORÍA
GENERAL DE LA REPÚBLICA. Despacho Contralor, a las quince horas del once de agosto de dos mil catorce.
6 La Gaceta № 28, del 10 de febrero del 2010. 7 La Gaceta № 184 del 25 de setiembre del 2014, vigente a partir del 01 de enero del 2015. 8 La Gaceta № 43, del 1 de marzo de 2013.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 7 de 19
las recomendaciones del informe y propondrá soluciones
alternas para los hallazgos detectados.
b) Con vista de lo anterior, el jerarca deberá
resolver, en el plazo de veinte días hábiles contados
a partir de la fecha de recibo de la documentación
remitida por el titular subordinado; además, deberá
ordenar la implantación de recomendaciones de la
auditoría interna, las soluciones alternas propuestas
por el titular subordinado o las de su propia
iniciativa, debidamente fundamentadas. Dentro de los
primeros diez días de ese lapso, el auditor interno
podrá apersonarse, de oficio, ante el jerarca, para
pronunciarse sobre las objeciones o soluciones
alternas propuestas. Las soluciones que el jerarca
ordene implantar y que sean distintas de las propuestas
por la auditoría interna, estarán sujetas, en lo
conducente, a lo dispuesto en los artículos
siguientes.
c) El acto en firme será dado a conocer a la auditoría
interna y al titular subordinado correspondiente, para
el trámite que proceda.
Artículo 38.-Planteamiento de conflictos ante la
Contraloría General de la República. Firme la
resolución del jerarca que ordene soluciones distintas
de las recomendadas por la auditoría interna, esta
tendrá un plazo de quince días hábiles, contados a
partir de su comunicación, para exponerle por escrito
los motivos de su inconformidad con lo resuelto y para
indicarle que el asunto en conflicto debe remitirse a
la Contraloría General de la República, dentro de los
ocho días hábiles siguientes, salvo que el jerarca se
allane a las razones de inconformidad indicadas.
La Contraloría General de la República dirimirá el
conflicto en última instancia, a solicitud del
jerarca, de la auditoría interna o de ambos, en un
plazo de treinta días hábiles, una vez completado el
expediente que se formará al efecto. El hecho de no
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 8 de 19
ejecutar injustificadamente lo resuelto en firme por
el órgano contralor, dará lugar a la aplicación de las
sanciones previstas en el capítulo V de la Ley Orgánica
de la Contraloría General de la República, N° 7428, de
7 de setiembre de 1994.
Artículo 39.-Causales de responsabilidad
administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil,
cuando corresponda, si incumplen injustificadamente
los deberes asignados en esta Ley, sin perjuicio de
otras causales previstas en el régimen aplicable a la
respectiva relación de servicios.
El jerarca, los titulares subordinados y los
demás funcionarios públicos incurrirán en
responsabilidad administrativa, cuando debiliten con
sus acciones el sistema de control interno u omitan
las actuaciones necesarias para establecerlo,
mantenerlo, perfeccionarlo y evaluarlo, según la
normativa técnica aplicable.
Asimismo, cabrá responsabilidad administrativa
contra el jerarca que injustificadamente no asigne los
recursos a la auditoría interna en los términos del
artículo 27 de esta Ley.
Igualmente, cabrá responsabilidad administrativa
contra los funcionarios públicos que
injustificadamente incumplan los deberes y las
funciones que en materia de control interno les asigne
el jerarca o el titular subordinado, incluso las
acciones para instaurar las recomendaciones emitidas
por la auditoría interna, sin perjuicio de las
responsabilidades que les puedan ser imputadas civil
y penalmente.
El jerarca, los titulares subordinados y los
demás funcionarios públicos también incurrirán en
responsabilidad administrativa y civil, cuando
corresponda, por obstaculizar o retrasar el
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 9 de 19
cumplimiento de las potestades del auditor,
el subauditor y los demás funcionarios de la auditoría interna, establecidas en esta Ley.
Cuando se trate de actos u omisiones de órganos
colegiados, la responsabilidad será atribuida a todos
sus integrantes, salvo que conste, de manera expresa,
el voto negativo.”
1.8.- CUMPLIMIENTO CON NORMAS GENERALES DE AUDITORÍA
El estudio se ejecutó de conformidad con las “Normas Generales de Auditoría
para el Sector Público” (R-DC-64-2014) y las “Normas para el Ejercicio de la Auditoría Interna en sector Público” (R-DC-119-2009).
1.9.- LIMITACIONES No se presentaron limitaciones para el desarrollo del estudio.
1.10.- GENERALIDADES DEL ESTUDIO
El Decreto Ejecutivo № 37549-JP, es de carácter obligatorio para todas las
instituciones que conforman el Gobierno Central, se propone: a. Prevenir y combatir el uso ilegal de programas de cómputo. b. Establecer controles para el uso de los programas de cómputo. c. Custodiar documentación. d. Designar un responsable de presentar resultados de estudio de auditoría. e. Garantizar que la institución proteja los derechos de autor. f. Mantener inventario actualizado.
1.11.- COMUNICACIÓN DE RESULTADOS En atención a lo señalado en la Norma № 205 (Comunicación de resultados)
de las Normas Generales de Auditoría para el Sector Público, el 28 de noviembre del año 2018 se remitieron notas con el fin convocar a la conferencia final con el propósito de atender, escuchar y valorar opiniones, discrepancias y aportes que puedan surgir de los resultados finales que obtuvimos durante el estudio. Este ejercicio se llevó a cabo el 05 de diciembre del año anterior en la sala de reuniones de la Auditoría Interna, con la presencia, por parte de la Administración de las licenciadas Vilma López Víquez, Encargada del Departamento Financiero
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 10 de 19
Administrativo y Malou Guzmán Quesada, Encargada de la Unidad de Tecnologías de Información. En dicha reunión no se presentaron observaciones que ameritaran realizar cambios al presente documento.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 11 de 19
II. COMENTARIOS
2.1.- AUSENCIA EN EL MONITOREO DE LOS PROGRAMAS DE
CÓMPUTO
La revisión de los programas de cómputo instalados en los equipos de cómputo de la DGAC, por medio del establecimiento de una muestra, a la cual se le aplicaron pruebas para la verificación de los programas de cómputo que posteriormente se clasificaron de criterios de tipo de software establecidos por la UTI9, demostró:
a. El 100% de los equipos revisados, cuenta con programas de cómputo licenciados (Sistema Operativo, Antivirus, Email, MS Office).
b. El 88% de los equipos revisados, cuenta con programas de cómputo conocidos para la Administración.
c. El 57% de los equipos revisados, cuenta con programas de cómputo
desconocidos10 para la Administración.
d. El 20% de los equipos revisados, cuenta con programas de cómputo correspondiente a dispositivos móviles.
La debilidad encontrada, representa un incumplimiento del Decreto, en relación con:
“Artículo 2, inciso a) Establecer sistemas y controles
para garantizar la utilización en sus computadoras, única
y exclusivamente, de aquellos programas de cómputo que
cumplan con los derechos de autor correspondientes.
Cualquier programa que exceda el número autorizado o que
no cuente con la licencia correspondiente deberá
removerse inmediatamente.”
“Artículo 10, inciso b) Establecer medidas para evaluar
el cumplimiento del respectivo Ministerio o Institución
adscrita al Gobierno Central, de las disposiciones en
9 Se confronta la información suministrada por la Unidad de Tecnologías de la Información, en hojas
de Excel correspondiente a: Inventario Laptop, Licencias de paga, activas, donadas y libres, entre otros).
10 No inventariado.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 12 de 19
materia de derechos de autor, en lo concerniente a la
adquisición y uso de programas de cómputo, de conformidad
con las disposiciones de este Decreto.
Inciso d) Llevar el control de licenciamiento e
instalación de licencias en los equipos que dispone el
Ministerio o Institución adscrita al Gobierno Central.
Inciso e) Para cada equipo deberá llevar un expediente u
hoja de vida donde conste el funcionario responsable que
autoriza la instalación, fecha de instalación y la
persona responsable de hacer la instalación. Esta
información deberá constar en el sistema indicado en el
artículo 2°”.
Esto se debe a la escasez de monitoreo preventivo, de los programas de cómputo instalados en los equipos de la DGAC, para detectar el uso de software desconocido para la Administración, que pueda representar desviaciones o incumplimientos al Decreto, y, representar una eventual amenaza a la seguridad lógica institucional.
2.2.- DEBILIDAD EN LOS CONTROLES PARA EL REGISTRO DE LA INFORMACIÓN
La revisión de la suficiencia en los controles utilizados por la DGAC, para el
registro de información relacionada con programas de cómputo, permitió determinar:
a. La UTI de la DGAC, utiliza Hojas de Excel (Anexo № 6), para el registro de la información correspondiente a inventario de hardware y software de los equipos de la DGAC.
b. Las Hojas de Excel, muestran la ausencia de información pendiente de ser ingresada.
c. Inconsistencia en la cantidad de software instalado, con usuarios reportados. d. No se consideran los campos fecha de instalación y funcionario que autoriza,
en los controles para los programas de cómputo. La debilidad encontrada, representa un incumplimiento del Decreto, en relación con:
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 13 de 19
“Artículo 2, inciso e) Mantener un sistema de información
que registre los resultados del inventario de equipos y
licencias adquiridas, e instalaciones (equipos donde se
tienen instaladas las licencias permitidas bajo tales
autorizaciones), sistema que permitirá determinar si
tienen suficientes autorizaciones para cubrir todos los
equipos y los programas en uso, ello permitirá establecer
que el respectivo Ministerio cumple con la protección de
los derechos de autor relativos a los programas de
cómputo. En el sistema deberá constar la fecha de
instalación y funcionario que autoriza la instalación de
la licencia.”
“Artículo 10, inciso b) Establecer medidas para evaluar
el cumplimiento del respectivo Ministerio o Institución
adscrita al Gobierno Central, de las disposiciones en
materia de derechos de autor, en lo concerniente a la
adquisición y uso de programas de cómputo, de conformidad
con las disposiciones de este Decreto.”
Esto se debe a la falta de revisión, para el mejoramiento continuo de los controles, utilizados en el registro de la información de los programas de cómputo, donde se incorporen campos sensibles, solicitados por el Decreto, para contar con una mejor trazabilidad de los datos.
2.3.- DESACTUALIZACIÓN EN EL NOMBRAMIENTO Y FALTA DE ENTRENAMIENTO DEL RESPONSABLE DE PRESENTAR EL INFORME A DERECHOS DE AUTOR
La UTI como ente técnico conocedor en materia de tecnología del CETAC,
es el responsable de velar porque los equipos institucionales cuenten con la instalación de licencias originales o software libre con la debida autorización del área de informática (Anexo №2), no obstante, indica la Jefe de la dependencia que el funcionario designado ya no labora para la DGAC, y, el nombramiento del nuevo encargado no se ha realizado. Adicionalmente, el encargado deberá ser entrenado en materia de derechos de autor (Anexo № 8). La debilidad encontrada, representa un incumplimiento del Decreto, en relación con:
“Artículo 2, inciso c) El Ministro o Jerarca de la
respectiva Institución, designará a una persona como
responsable, entre otras cosas, de presentar el resultado
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 14 de 19
de la auditoria y un informe anual ante el Registro
Nacional de Derechos de Autor y Derechos Conexos.”
“Artículo 10, inciso c) Dirigir y ofrecer apoyo
institucional al entrenamiento apropiado del personal de
servicio público en materia de Derechos de Autor y
Derechos Conexos relacionado con los programas de
cómputo, las políticas y procedimientos adoptados para
cumplir con ellos.”
Esto se debe a la desatención para actualizar el nombre del responsable de presentar el informe a Derechos de Autor, así como, la ausencia de gestiones para que se le capacite en materia de Derechos de Autor.
2.4.- FALTA DE REMISIÓN DE INFORME DE AUDITORÍA A DERECHOS DE AUTOR Y ACCIONES REALIZADAS PARA SUBSANAR LO ENCONTRADO
La UTI como parte de la documentación aportada para la realización del
presente informe, presentó a la Auditoría el oficio DGAC-TI-OF-148-2018 del 13 de junio del año en curso, donde indica a la Oficina de Derechos de Autor y Conexos del Registro Nacional, que como parte del Decreto № 37549-JP, aportan un CD (Anexo № 7), con información relativa a inventarios y bases de datos, no obstante, omiten la presentación del informe realizado por la Auditoría Interna, así como el establecimiento de acciones para la atención de los hallazgos realizados, por ésta dependencia.
La debilidad encontrada, representa un incumplimiento del Decreto, en relación con:
“Artículo 4º- Posterior a la auditoria mencionada en el
artículo anterior, cada Ministerio e Institución adscrita
al Gobierno Central, a través de la persona designada
como responsable deberá presentar un informe anual
(*) dentro del primer semestre de cada año ante el
Registro de Derechos de Autor y Derechos Conexos. Este
informe pondrá en conocimiento del citado Registro los
resultados del auditoraje efectuado por el respectivo
Ministerio o Institución adscrita al Gobierno Central,
así como las acciones aplicadas; en el mismo deberán
indicar el grado de cumplimiento y cantidad de equipos
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 15 de 19
existentes, se deberá adjuntar el informe de la
auditoria.
Dentro del mismo cada Ministerio e Institución adscrita
al Gobierno Central, deberá hacer constar que cumple con
la protección de los derechos de autor relativos a los
programas de cómputo. También, deberá presentar el
inventario.
(*) (Nota de Sinalevi: Ver transitorio único adicionado
por el artículo 2° del decreto ejecutivo N° 37833 del 12
de julio del 2013, en relación a la presentación del
informe anual)”
Esto se debe a una falta de seguimiento, así como al establecimiento de indicadores que permitan medir el porcentaje de cumplimiento de las recomendaciones emitidas por la Auditoría.
2.5.- POCA CLARIDAD EN LAS MEDIDAS PRESUPUESTARIAS PARA LA ADQUISICION DE PROGRAMAS DE CÓMPUTO
En la revisión de las medidas adoptadas por la Administración, para procurar
la debida asignación presupuestaria, para la adquisición de licencias correspondientes a programas de cómputo, no se aportó evidencia clara y concreta, de parte de la administración, donde se indique la existencia de una restricción presupuestaria que aplique a los programas de cómputo, únicamente la Jefe de la UTI indica que se está adquiriendo lo estrictamente necesario. La debilidad encontrada, representa un incumplimiento del Decreto, en relación con:
“Artículo 12.- Los Ministerios e Instituciones adscritas
al Gobierno Central, deberán adoptar las medidas
necesarias para asegurarse que los proyectos de
presupuestos para programas de cómputo y los
requerimientos para el procesamiento de datos, incluyan
recursos adecuados para la adquisición de las licencias
correspondientes de los programas de cómputo que
necesiten.”
Esto se debe a la ausencia de medidas claras de parte de la Administración, donde se indique la forma en que procederá, cuando un proyecto de presupuesto
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 16 de 19
para la adquisición de licencias, no pueda ser ejecutado, en razón de los recortes presupuestarios.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 17 de 19
III. CONCLUSIONES
De acuerdo a los resultados del estudio, se tiene que:
1. La revisión realizada para determinar el estado de los programas de cómputo de la DGAC para el 2018, permitió encontrar la existencia de programas desconocidos para la Administración, que no están inventariados por la Administración, lo que pueden generar vulnerabilidades de seguridad, que contribuyan a la proliferación de virus o ataques lógicos al negocio.
2. La carencia de campos en las herramientas de la Administración, donde se registra información sensible y relevante, que incrementa la data correspondiente a los controles utilizados en el registro de información, no permite conocer obsolescencia de programas, ni funcionarios que encargados de su instalación.
3. La falta de asignación de un encargado directo en la DGAC, para la elaboración y entrega del informe a Registro Nacional, así como su desconocimiento en materia de Derechos de Autor, deja a la institución en una posición de indefensión, ante el uso indebido de programas de cómputo.
4. La omisión en el envío del informe de Auditoría como parte de la información que se remite a Derechos de Autor, y, la ausencia de un control para el seguimiento de las recomendaciones planteadas por la dependencia, imposibilita el fortalecimiento del control interno.
5. La ausencia de una política de parte de la Administración, donde se expongan claramente las medidas asumidas para el recorte presupuestario, que afecta entre otros la adquisición de programas de cómputo, expone a la institución al incumplimiento normativo, por la asignación y resguardo que se debe dar al mantenimiento de la plataforma tecnológica institucional.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 18 de 19
IV. RECOMENDACIONES
Al Director General de Aviación Civil
1. Aprobar el Informe y ordenar la implementación de las recomendaciones incluidas en el mismo.
A la Encargada de la Unidad de Informática
2. Establecer un mecanismo de control, que permita el monitoreo periódico de un grupo significativos de computadoras en la DGAC, para verificar de forma preventiva, el adecuado uso de los programas de cómputo, con el fin de actualizar el inventario de los programas de cómputo institucional, así como, detectar y corregir cualquier desviación de los parámetros aceptados por Derechos de Autor.
3. Fortalecer los controles existentes, implementados por la Administración a
través de las Hojas de Excel, incorporando información sensible11, de forma que se permita realizar un adecuado registro y trazabilidad de la información.
4. Realizar las gestiones pertinentes, para el nombramiento y capacitación, del
encargado de presentar el informe a Derechos de Autor, para que disponga del conocimiento necesario para asesorar a la Administración, cuando se requiera o detecten programas de cómputo, que contravengan la establecido en el Decreto.
5. Remitir junto con el informe de la Auditoría, relacionado con el estado de los
programas de cómputo institucionales, un control para el seguimiento, que permita medir el porcentaje de avance y cumplimiento de las recomendaciones giradas por ésta dependencia.
6. Valorar en conjunto con la Administración, documentar las medidas que
afecten el presupuesto destinado para la adquisición de programas de cómputo, cuando suponga un recorte que afecte la adquisición de software, así como el mantenimiento de la plataforma tecnológica institucional.
11 Fecha de instalación y funcionario que autoriza, campos solicitados por el Decreto.
Consejo Técnico de Aviación Civil
Auditoría Interna
INFORME AI-08-2018
Noviembre, 2018 Página 19 de 19
ANEXOS
Anexo N°1 Anexo N°2
Fuente. Sitio Web de MIDEPLAN. Fuente. Sistema de Gestión DGAC.
Anexo N°3 Anexo N°4
Fuente. Elaboración propia. Fuente. Información facilitada por la UTI.
Anexo N°5 Anexo N°6
Fuente. Remisión a Derechos de Autor. Fuente. Controles de sistemas instalados.
Anexo N°7 Anexo N°8
Fuente. Remisión a Derechos de Autor. Fuente. Consultas realizadas a la UTI.